“الخطأ البشري سبب استغلال بقيمة 11.6 مليون دولار في LI.FI – تفاصيل الآن!”
كشف بروتوكول التوافق LI.FI أن السبب وراء الاستغلال الأخير يعود إلى هجوم مستند إلى موافقة رمزية غير محدودة. في 16 يوليو 2024، تعرض لاختراق أمني أدى إلى سرقة حوالي 11.6 مليون دولار بعد التأثير على 153 محفظة كانت تستخدم LI.FI للتفاعل مع شبكتي Ethereum و Arbitrum.
تفاصيل الثغرة الأمنية
ظهرت الثغرة الأمنية بعد فترة وجيزة من نشر وجه عقد ذكي جديد قامت فرق LI.FI بتعطيله عبر جميع السلاسل لمنع المزيد من الوصول غير المصرح به.
- نشأت الاستغلال من نقص في فحوص التحقق في الوجه الجديد، مما أتاح للمهاجمين إصدار استدعاءات عشوائية لأي عقد.
- نسبت الشركة هذا إلى “خطأ بشري فردي في الإشراف على عملية النشر”.
الأصول المسروقة
الأصول التي تم استنزافها تضمنت USDC و USDT و DAI. أكدت LI.FI أن الثغرة أثرت فقط على الموافقات غير المحدودة ولم تؤثر على الموافقات المحدودة، والتي هي الإعداد الافتراضي في API وSDK والويدجت الخاص بهم.
التحقيق واستعادة الأموال
بالإضافة إلى ذلك، يعملون مع فرق إنفاذ القانون وفرق الأمان الصناعية لتتبع واستعادة الأموال المسروقة.
“LiFi، بدعم من مستثمريها الرئيسيين، تقوم حاليًا بتقييم الخيارات لتعويض المستخدمين المتضررين بالكامل في أقرب وقت ممكن”، كما ذكروا في التقرير.
الاستجابة للحادثة
رداً على الحادثة، كررت LI.FI التزامها بالأمان، مسلطة الضوء على التدابير الحالية مثل مراجعات متعددة، مستشارين شهريين، اختبارات الاختراق، وبرامج مكافآت الثغرات. كما تتواصل الشركة مع أصحاب المحافظ المتضررة للتواصل المباشر.
